Desenvolvimento da OpenSSL é acelerado para corrigir Heartbleed

Por Redação | 04.07.2014 às 13:14

Apesar de atualizações e correções mais recentes, a falha de segurança Heartbleed ainda afeta mais de 300 mil servidores. E, para que este número caia, faz-se necessário que o centro da vulnerabilidade, o protocolo de código aberto OpenSSL, tenha um desenvolvimento mais rápido, afim de combater o Heartbleed e outras futuras brechas para hackers. A boa notícia é que os desenvolvedores já estão acelerando esse processo, de acordo com o Ars Technica.

Os criadores do OpenSSL anunciaram nesta semana um mapa de desenvolvimento, dizendo que o projeto de código aberto precisa de mudanças urgentes. A maior causa dessas mudanças é mesmo o Heartbleed, que usa uma falha de segurança no acervo de criptografia do protocolo, o que deixa o conteúdo das comunicações vulneráveis a hackers, principalmente porque o OpenSSL é amplamente utilizado mundo afora.

A preocupação é tão grande, que, sendo um projeto dependente de doações, gigantes do setor investiram dinheiro pra que sejam contratados dois desenvolvedores e uma empresa de segurança terceirizada para auditar o serviço, em tempo integral.

O OpenSSL Project Roadmap, ou "Projeto de Mapa de Desenvolvimento do OpenSSL", foi revelado na segunda-feira (30) e atualizado na terça (1), com uma lista de metas iniciais para a nova equipe responsável.

Entre os problemas emergenciais apontados para serem resolvidos com mais urgência estão acúmulo de notificações de falhas em aberto, documentação incompleta ou incorreta, aplicações de bibliotecas muito complexas, estilo de codificação inconsistente, falta de revisão dos códigos, ausência de plano de lançamentos de novas edições, estratégia de plataforma confusa e nenhuma estratégia segurança publicada até o momento.

Para começar, a equipe já planejou notificações de falhas que possam ter uma resposta em quatro dias úteis. Definir códigos mais claros para o projeto pode levar mais tempo, cerca de três meses. Já revisar as Programações de Aplicações, ou APIs, deve tomar aproximadamente um ano.

O projeto para revisar os códigos sugere uma forma que as novas linhas devam ser primeiro revistas por membros familiarizados antes de um novo time, de forma que até questões sobre os revisores sejam levadas em consideração. Isso deve acontecer em três meses.

A nova estratégia deve cobrir cada lançamento e suportar informações para evitar problemas de segurança. A ideia é proibir versões instáveis e consertar erros já oferecendo edições corrigidas. Além disso, o plano é conseguir novos recursos binários compatíveis com o OpenSSL rapidamente.

Para a plataforma, inicialmente estão listados os sistemas operacionais Linux e FreeBSD, os mais utilizados pelos desenvolvedores. Uma lista secundária deve ser anunciada muito em breve.

Já a estratégia de segurança consiste simplesmente em criar correções e notificar o lançamento de itens de segurança com antecedência. Isso deve ser implementado em dois meses.

Além dessas metas, os desenvolvedores querem também suporte para protocolos de Internet IPv6 e arquiteturas de hardware como ARMv8 e POWER8. O foco inicial, porém, é mesmo corrigir os problemas identificados após o Heartbleed.

Fonte: http://arstechnica.com/information-technology/2014/07/openssl-speeds-up-development-to-avoid-being-slow-moving-and-insular/